Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

подозрение, что компом кто-то управляет

janeray@mail.ru

Автор janeray@mail.ru
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
Опубликовано

сегодня ночью комп атаковали трояны и вирус салюти.

касперыч обнаружил, лечил, но все-равно комп немного странно себя ведет, есть подозрение, что трояны прописали какие-то адреса и комп управляется кем-то

 

что делать?

 

как проверить комп на наличие чужих управлений?

Ссылка на комментарий
Поделиться на другие сайты
_Strannik_ Гигант мысли

_Strannik_

Опубликовано
Опубликовано
что делать?

Здравствуйте. Сделайте логи http://forum.kasperskyclub.ru/index.php?showtopic=1698. результат прикрепите в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
  • Автор
Опубликовано (изменено)

да, уже делаю.

 

кошмар: все программы выключены, никаких обновлений и прочего... а локалка и подключение инет - в полную мощность сосут что-то.......

 

avz показало какие-то перехваты красным цветом, и надпись адрес не определен.

 

 

p.c.

пока это сообщение писала, на моих глазах вырубается инет (провайдер очень высококлассный, и такого никогда не было), 10 минут не могу его обратно врубить. потом все-таки появился........

Изменено пользователем janeray@mail.ru
Ссылка на комментарий
Поделиться на другие сайты
_Strannik_ Гигант мысли

_Strannik_

Опубликовано
Опубликовано (изменено)

janeray@mail.ru, не те логи!

нам нужны:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем Stranniky
Ссылка на комментарий
Поделиться на другие сайты
janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
  • Автор
Опубликовано

грохнуть эти файлы? или конкретно комп лечить придется?

 

не те логи.

нам нужны.

 

"полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip."

 

нет ни директории, программа avz нигде не проходит.

только путем сохранения отчета вот эти "текстовики"

hijackthis.log

avz_log2.txt

Ссылка на комментарий
Поделиться на другие сайты
_Strannik_ Гигант мысли

_Strannik_

Опубликовано
Опубликовано (изменено)

janeray@mail.ru, так вот что нужно делать.

запускаете AVZ и и нажимаете на обновление баз ---смотр.крин 1

post-13396-1311946350_thumb.jpg

Потом когда обновление завершится Фаил--стандартный скрипт выбираете №2 и запускаете---смотреть скрин 2

post-13396-1311946456_thumb.jpg

После того,как проверка закончится:

Фаил--стандартные скрипты-- выбираете скрипт №3 и запускаете--смотреть скрин 3

post-13396-1311946532_thumb.jpg

Когда проверка будет закончена появится папка LOG смотреть скр 4

post-13396-1311946594_thumb.jpg

Изменено пользователем Stranniky
Ссылка на комментарий
Поделиться на другие сайты
janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
  • Автор
Опубликовано (изменено)

да. именно так.

видимо, я забыла его в отд.папку поместить

virusinfo_syscheck.zip

Изменено пользователем janeray@mail.ru
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

janeray@mail.ru,

было бы не плохо увидеть ещё лог virusinfo_syscure.zip...

 

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
  • Автор
Опубликовано

2-й лог в процессе еще.....))))))

 

вот логи.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

avz недостаточно?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
janeray@mail.ru Постоялец

janeray@mail.ru

Опубликовано
  • Автор
Опубликовано (изменено)

лог ))))))

 

трояны и салюти были с чужой флешки..... а тут смотрю - в папке инсталлов куча нечисти ))))

так я эти файлы в касперыча кинула - он ничего не показал. почему? слаб?

 

винду переустанавливать? или как-то реестр вычистить?

 

ваш прекрасный анти-малваре после перезагрузки встал в трей и........

каждые 30 секунд блокирует непонятные автоматич.подключения к каким-то "вредоносным сайтам" (уже штук 9 адресов показал), при всех остальных закрытых программах

195.161.40.10

89.28.123.98

85.234. 173.91

218.9.124.28

195.161.40.10

222.70.193.184

212.113.45.124

218.8.144.87

98.142.249.13

и другие

 

 

анти-Малваре - техничнее Касперыча?анти-малваре сейчас отдувается, а у Касперыча - "лава-а-нда-а...."

mbam_log_2011_07_30__11_46_44_.txt

Изменено пользователем janeray@mail.ru
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
анти-Малваре - техничнее Касперыча?

нет. их некорректно сравнивать. это 2 разных продукта.

 

c:\program files\totalcmd_it\Utilites\Riot\Riot.exe

проверьте на virustotal.com

ссылку с результатом прикрепите

 

кейгены, что нашёл MBAM - на Ваше усмотрение (можете удалить, можете оставить)

 

Раскрывающийся текст:

f:\INSTALL\install audio\Audio\! шумодав мп3 плюс ключи саунд форж\noise ключ\dm_noiser20a\damn_noiseplugin_kg.exe (Trojan.Agent.CK) -> No action taken.

f:\INSTALL\install audio\Audio\! шумодав мп3 плюс ключи саунд форж\sonic foundry\sony sound forge 7.0\Keygen.exe (Trojan.Downloader) -> No action taken.

f:\INSTALL\install audio\Audio\! шумодав мп3 плюс ключи саунд форж\sound.forge.v6.0.incl.mp3.&.mpeg.1&2.plugins.kg\sonic.foundry.mainconcept.mpeg.1&2.plugin.v1.0.keymaker\damn_concmpeg_plugin10_kg.exe (Trojan.Agent.CK) -> No action taken.

f:\INSTALL\install audio\Audio\! шумодав мп3 плюс ключи саунд форж\sound.forge.v6.0.incl.mp3.&.mpeg.1&2.plugins.kg\sonic.foundry.mp3.plugin.v2.0.keymaker\damn_mp3plugin_kg.exe (Trojan.Agent.CK) -> No action taken.

f:\INSTALL\install audio\Audio\! шумодав мп3 плюс ключи саунд форж\sound.forge.v6.0.incl.mp3.&.mpeg.1&2.plugins.kg\sonic.foundry.sound.forge.v6.0.keymaker\KEYGEN.EXE (RiskWare.Tool.HCK) -> No action taken.

f:\INSTALL\install audio\Notators\midimage v2.2.0.1\CRACK\mi2201-crk.exe (Trojan.Bancos) -> No action taken.

f:\INSTALL\install audio\propellerhead reason 4.0\KEYGEN.EXE (RiskWare.Tool.CK) -> No action taken.

f:\INSTALL\install audio\winamp pro 5.61 build 3133 final\Таблэтки\DVT\KeyMaker.exe (RiskWare.Tool.CK) -> No action taken.

f:\INSTALL\install creative\asd_adobe.indesign.cs5.premium.v7.0.incl.keymaker-embrace.t.e.k.o.exe (Malware.Packer.Gen) -> No action taken.

f:\INSTALL\install system\reg organizer 5.0\keygen.exe (RiskWare.Tool.CK) -> No action taken.

f:\INSTALL\install system\winrar v3.90 final\Keygen\Keygen.exe (RiskWare.Agent.CK) -> No action taken.

f:\ТЕХНИКА\генераторы_ключей\sonic_foundry_keygen.exe (Trojan.Downloader) -> No action taken.

 

 

деинсталлируйте MBAM.

 

пофиксите в Hijackthis:

O2 - BHO: Dot TK Registry Toolbar - {22EB0F38-22A5-405B-8308-677DAA3318CF} - C:\Program Files\TK-it!\dottktb.dll (file missing)
O3 - Toolbar: Dot TK Registry Toolbar - {22EB0F38-22A5-405B-8308-677DAA3318CF} - C:\Program Files\TK-it!\dottktb.dll (file missing)
O3 - Toolbar: (no name) - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - (no file)
O9 - Extra button: (no name) - {13750BBB-B753-4d3d-B660-3AEEE71535A7} - C:\Program Files\TK-it!\dottktb.dll (file missing)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • searing
      [РЕШЕНО] Подозрение на майнер
      Автор searing
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock, с обфусцированным js кодом. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами doctor web cureit и malwarebytes - не помогло. CollectionLog-2025.07.04-05.50.zip
×
×
  • Создать...